- Theo nhóm các nhà phân tích bảo mật Project Zero của Google, hàng triệu thiết bị cầm tay Android dễ bị tổn thương trước một lỗ hổng chưa được vá có tên là CVE-2022-33917.

CVE là viết tắt của Common Vulnerabilities and Exposures và mỗi số CVE đề cập đến một lỗ hổng cụ thể. CVE nói trên là một lỗ hổng ảnh hưởng đến các thiết bị Android được trang bị chip đồ họa GPU Mali của ARM. Điều đó có nghĩa là thiết bị cầm tay Google Pixel và Samsung Galaxy bị ảnh hưởng cùng với điện thoại thông minh Android của nhiều nhà sản xuất khác nữa.

Trước khi bản vá được phát hành chính thức, những kẻ tấn công có khả năng khai thác lỗ hổng này. Đại diện hãng Google nói rằng, lỗ hổng này sẽ cho phép những kẻ tấn công "tiếp tục đọc và viết các đoạn mã sau khi chúng được đưa trở lại hệ thống." Bên cạnh đó, thông qua nhân của hệ điều hành, kẻ tấn công thực thi mã gốc trong ngữ cảnh ứng dụng có thể có toàn quyền truy cập vào hệ thống, bỏ qua mô hình quyền của Android và cho phép truy cập rộng rãi vào dữ liệu người dùng."

Lỗ hổng đã được sửa nhưng vẫn chưa được vá

Project Zero lưu ý rằng, họ đã thông báo tới các nhà sản xuất chip ARM về các lỗ hổng và ARM đã "kịp thời" khắc phục sự cố vào tháng 7 và tháng 8 năm nay. ARM đã gắn số CVE-2022-33917 cho lỗ hổng kiểu này. Nhưng Google sau đó đã phát hiện ra rằng "tất cả các thiết bị mà hãng đưa vào thử nghiệm sử dụng chip đồ họa Mali vẫn dễ bị ảnh hưởng bởi lỗ hổng này. CVE-2022-36449 không được đề cập trong bất kỳ bản tin bảo mật hạ nguồn nào." Nói cách khác, các dòng smartphone của các thương hiệu Google, Samsung, Oppo và Xiaomi sản xuất vẫn chưa vá được lỗi và vẫn có lỗ hổng có thể bị khai thác.

Không chỉ có chip GPU Mali gặp rủi ro, các thiết bị cầm tay sử dụng chip Google Tensor, Exynos hoặc MediaTek cũng cần được vá lỗi. Tin vui là Google đang thử nghiệm một bản vá dự kiến ​​sẽ được tung ra "trong vài tuần tới". Các nhà sản xuất điện thoại Android cũng sẽ được yêu cầu cập nhật bản vá lỗi này.

Tuyên bố của Google có đoạn: "Bản sửa lỗi do các nhà sản xuất chip ARM cung cấp hiện đang được thử nghiệm cho các thiết bị Android và sẽ được phân phối trong vài tuần tới. Các đối tác sản xuất linh kiện (OEM) của thiết bị Android sẽ được yêu cầu thực hiện bản vá để tuân thủ các yêu cầu bảo mật trong tương lai."

Google đã có những chia sẻ dành cho các nhà cung cấp thiết bị Android đang cố gắng ngăn chặn sự cố tương tự xuất hiện trong tương lai. Theo đó, các nhà cung cấp phần mềm có trách nhiệm vá các lỗi xuất hiện cũng như người dùng Android phải tải xuống các bản cập nhật bảo mật ngay khi nhận được.

Gã khổng lồ tìm kiếm nói thêm rằng "Các công ty cần duy trì cảnh giác, theo sát các nguồn xâm nhập từ bên ngoài và cố gắng hết sức để cung cấp các bản vá hoàn chỉnh cho người dùng càng sớm càng tốt."

Google chưa cho biết lỗ hổng này đã bị khai thác bởi bất kỳ kẻ tấn công nào nhưng hiện tại, đây vẫn là một lỗ hổng có thể được sử dụng để đánh cắp dữ liệu cá nhân trên một số điện thoại Android nhất định. Khi bản cập nhật được phát hành, nếu điện thoại Android của bạn gặp rủi ro, hãy cài đặt bản cập nhật ngay lập tức. Bạn có thể nhanh chóng xác định xem thiết bị của mình có dễ bị tấn công hay không bằng cách xem thông số kỹ thuật của điện thoại và kiểm tra xem nhà sản xuất chip đồ họa GPU trên thiết bị.

Nếu nó cho thấy bạn có bộ xử lý đồ họa (GPU) ARM Mali, thì thiết bị của bạn đang gặp rủi ro. Hãy tiếp tục kiểm tra vì chúng tôi sẽ cập nhật câu chuyện này khi bản vá được phổ biến.

Hoàng Thanh